威瑞森發布2019年《數據泄露調查報告》
責編:gltian |2019-05-13 10:58:35威瑞森2019《數據泄露調查報告》(DBIR),揭秘網絡罪犯目標轉移及犯罪動機趨勢。
2008年起,威瑞森每年都發布《數據泄露調查報告》(DBIR)。2019年5月8日發布的2019年版DBIR已是其第12版了,同時也是迄今為止涵蓋最廣的一版,共有73家內容貢獻者和對41,686起安全事件的分析,其中包括2,013起已證實的數據泄露事件。
純從細節和涵蓋廣度出發,DBIR已成安全行業的數據泄露《圣經》。威瑞森并不揣測其所提供數據的含義,將推測工作留給獨立安全分析師去做。與其他調查類似,該報告僅分析并分類其所收到的數據。因此,DBIR提供的是整個行業的安全趨勢證據,而不是特定趨勢的具體原因。
這一點可以從經濟利益驅動的攻擊和網絡間諜攻擊的相關趨勢中看出來 (勒索軟件可能是最顯眼、最具新聞報道價值的樣例了)。2019 DBIR 凸顯出經濟利益驅動的網絡攻擊正在全面增長。
制造行業長期以來的普遍認知都是大多數網絡攻擊是為了獲取情報,以網絡間諜活動為主。去年的報告首次顛覆了制造行業的這一認知,顯示出經濟利益驅動的網絡攻擊已經超越了出于網絡間諜目的的攻擊。威瑞森安全研究總監 Alex Pinto 承認:
老實說,我們當時以為這只是偶然現象,并且也這么描述了。但上一年里這兩種動機之間的差距有所增長,如今制造業面臨的出于經濟利益的攻擊占比68%。DBIR告訴了我們這一事實,但沒告訴我們原因。
DBIR不做猜測,只記錄事實。Pinto表示,這有可能僅僅是因為經濟利益驅動的攻擊全面增加,而網絡間諜攻擊保持不變。但威瑞森非常謹慎,不會向制造業表示間諜攻擊有下降趨勢。
根據個人經驗,Pinto認為,新聞媒體報道總有偏向。間諜活動總是比只為求財的攻擊有趣得多。所以你會看到新聞媒體大多都在報道網絡間諜類攻擊。但這并不意味著追求經濟利益的攻擊就沒有發生,這種普通的攻擊太多了,未必能得到媒體的青睞。
但是報道偏見有可能影響深遠。2018年7月,Sophos報道稱,SamSam勒索軟件感染的真實數量可能比普遍認為的要高得多。盡管有少數感染案例確實被媒體大肆報道,但Sophos和Neutrino順著比特幣錢包的線索查出:約有233名受害者悄悄支付了贖金,并未上報勒索軟件感染情況。
威瑞森的數據顯示,影響各行各業的惡意軟件類型中,勒索軟件排名第二,而醫療保健行業是受勒索軟件影響最嚴重的。由于HIPPA法規的存在,醫療行業必須報告任何數據泄露事件,勒索軟件攻擊也包含在內。因此,所有醫療機構勒索軟件感染事件均能得到上報。
在威瑞森的整個數據集中,勒索軟件占比24%;但細分到醫療行業,勒索軟件感染事件的占比就達到了70%。盡管威瑞森并未猜測這一數據背后的種種原因,但顯然其他行業很可能因為沒有強制上報而實際屈服于勒索軟件攻擊的數量比報告的數量要多。勒索軟件持續增長的數據,也印證了報告中凸顯的經濟利益驅動型攻擊上升的趨勢。
而且,瞞報現象表明:勒索軟件威脅可能比DBIR數據呈現出的要大。
被問及 2019 DBIR 暴露出的特別趨勢時,Pinto點出了兩個方面:攻擊者轉向容易攻擊的目標,以及網絡釣魚重心逐漸向高級管理層傾斜(這兩個方面可能是同一個趨勢的一體兩面)。就前者而言,Pinto表示,這一現象在2018年便已廣泛存在,不是新出現的。
這是一場安全角力。我們強化了某些東西,然后網絡罪犯們就轉向另外一些容易突破的東西,以保證他們的現金流。
銀行欺詐就是一個例子。EMV智能芯片卡的引入令有卡欺詐更難以實現,罪犯便轉向了無卡欺詐。Pinto稱:從我們聚集的數據來看,基于Web應用的支付卡欺詐似乎很快便將超過非Web應用欺詐。這兩條曲線即將交錯。
自2015年起,銷售終端(PoS)數據泄露事件下降了10倍,而Web應用數據泄露事件如今增加了13倍。威瑞森的合作伙伴,美國國家網絡取證與培訓聯盟(NCFTA)的數據顯示,無卡欺詐已比有卡欺詐更為普遍。這一趨勢背后的原因無疑就是芯片+密碼的引入使網絡罪犯轉向了更容易操作的犯罪方式。
網絡罪犯選擇通過最簡單的途徑通往最大回報率的另一個案例,就是加強對高級管理層的網絡釣魚突破。說到商業電郵入侵(BEC)威脅,Pinto評論道:既然可以給首席財務官(CFO)發送電子郵件,讓他給黑客匯款,又何必再去費勁黑掉公司企業呢?
今年的BEC數據來自DBIR的新合作伙伴——美國聯邦調查局(FBI),其互聯網犯罪投訴中心(IC3)貢獻了一組新的數據波動。好消息是,BEC損失中位數與二手車均價大致相當。壞消息是,金額軸不是線性的。從零損失到中位數損失的BEC事件數量跟從中位損失金額到1億美元損失的BEC事件數量一樣多。
當然,FBI的職責不僅僅是繪制BEC損失圖表,還要盡可能追回這些損失。他們在去年成立了資金恢復團隊(RAT),與被騙資金流入的銀行合作,共同解決BEC問題。美國發生的BEC案件中,有半數追回或凍結了99%的涉案資金;僅9%的BEC案件分文未回。
若對今年的DBIR打個總結,那就是萬變不離其宗。改變得越多,越遵循本源。黑客仍在黑服務器,也仍舊在投送網絡釣魚電子郵件,但是他們轉向了更加容易入侵的高價值目標。盡管具體的目標和攻擊位置有變,網絡罪犯所用的最終戰術卻保持不變。
每年的DBIR都能引發一波瘋狂的審視與解讀。DBIR報告數據豐富,分析全面,業內評論者可以質疑其分析,擴展某部分數據,或者強調其中某幾個方面。
行業特定分析往往更為細致,具備特定價值。總的主題與趨勢不見得會有很大不同,但行業細節更有可執行性。
DBIR中事件與數據泄露是有區別的,必須理解并重視這一區別。DBIR圖表很多,但根據其適用的類別,其含義也有很大差別。
呈報的所有東西都可以歸為事件,無論涉事數據有沒有遭到泄露。而數據泄露則僅指數據切實遭到泄露的那些事件。針對DBIR,重點應放在數據泄露上,因為事件量多價賤,而數據泄露則直指核心。
從包含行業角度的總體觀點出發,DBIR中最有趣的章節是 “受害人群及行業分析” 指標。
該視圖可使人以有意義的方式快速分辨出異常和問題領域。比如說,你可以直觀地看出,黑客活動就是能夠通過安全事件和數據泄露廣泛影響各行各業的一種行為。而作為目標,服務器也是廣義上最受影響的資產。
你也會注意到事件和數據泄漏在拒絕服務模式上的明顯對比。這種對比非常直觀,拒絕服務(DoS)是大多數事件的主要模式,但不是數據泄露的主要模式。而事件和數據泄露的共同點也能通過 “黑客活動” 和 “服務器” 加以體現。
這些例子都是事件和數據泄露在屬性上相通的地方。換句話說,投資抵御黑客行為和保護服務器的防御措施,可以降低事件和數據泄露的發生率,但DoS防御措施對抵御數據泄露沒什么用。
當然,該視圖的真正價值在于具體的行業。比如說,如果你身處零售業,自然絕對應該關注怎樣保護你的Web應用,怎樣抵御黑客攻擊,以及如何保護你的服務器。擁有惡意軟件防護方案也是個不錯的策略。
如果你身處政府和公營事業部門,相比服務器,更應關注的對象是網絡間諜、黑客攻擊和人員情況。對比零售業和公共事業,同為網絡安全操作,應該關注的重點卻大不相同。零售業無需太過擔心網絡間諜的結論或許還比較直觀,但公共事業部門將人員作為目標資產加以重視就會對預算的分配產生重大影響了。
醫療行業異于其他大多數行業,各種各樣的問題是最多的。與之相關的權限誤用問題也不甘落后。醫療行業遭遇最多的三種行為是黑客攻擊、社會工程和權限誤用。
只要從整體上觀察醫療行業,你就會得出如何分配預算的明智結論,尤其是分配到圍繞數據訪問權限的技術和過程上的預算。
此類行業特定分析對預算規劃相當有用。DBIR中每個行業都有專門的章節詳細講述此類細節,感興趣的話值得一讀。當然,該特定視圖可能也會激發一些這種興趣。
DBIR中有用的數據和分析很多,閱讀時一定要保持清醒的頭腦,知道自己在剖析該報告時想要達到什么目的。面向目標的閱讀才是好的閱讀策略。
威瑞森《2019數據泄露調查報告》:
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf